1. Trang chủ
  2. » Luận Văn - Báo Cáo

Giáo trình mô đun Quản trị nâng cao (Nghề Quản trị mạng - Trình độ cao đẳng) - CĐ Kỹ thuật Công nghệ BR-VT

184 2 0
Tài liệu đã được kiểm tra trùng lặp

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Tiêu đề Giáo Trình Mô Đun Quản Trị Nâng Cao
Tác giả Vũ Thị Tho
Trường học Trường Cao đẳng Kỹ thuật Công nghệ BR-VT
Chuyên ngành Quản trị mạng
Thể loại giáo trình
Năm xuất bản 2020
Thành phố Bà Rịa - Vũng Tàu
Định dạng
Số trang 184
Dung lượng 24,58 MB

Cấu trúc

  • 1. Tại sao phải dùng Terminal services (7)
  • 2. Các hình thức máy trạm kết nối đến máy chủ (7)
  • 3. Cài đặt và cấu hình Terminal Service (7)
    • 3.1. Cài đặt Terminal Services (8)
    • 3.2. Thêm các chương trình ứng dụng RemoteApp (13)
    • 3.3. Chia sẻ folder chứa file ứng dụng (17)
    • 3.4. Kiểm tra trên máy client (18)
    • 4.1. Cài đặt TS Web Access trên Terminal Server (21)
    • 4.2. Kiểm tra trên Terminal Client (24)
  • 5. Bảo mật Terminal Services của Windows Server 2008 (25)
    • 5.1. Sử dụng chứng thực Smart Cards (25)
    • 5.2. Cấu hình bảo mật bổ sung bằng Group Policy (30)
  • BÀI 2: TÍNH NĂNG BẢO MẬT NÂNG CAO SERVER 1. Thiết lập Advanced Firewall (32)
    • 1.1. Giới thiệu (32)
    • 1.2. Cấu hình Advanced FireWall (32)
      • 1.2.1. Xác định port (33)
      • 1.2.2. Cấu hình Inbound Rule (33)
      • 1.2.3. Cấu hình Outbound Rule (35)
    • 2. IP SECURITY (38)
      • 2.1. Tổng quan IP Sec (38)
        • 2.1.1. Khái niệm IP Sec (38)
        • 2.1.2. Cấu trúc bảo mật của IP SEC (39)
        • 2.1.3. Hiện trạng IP SEC (39)
      • 2.2. Cấu hình IP Sec (40)
        • 2.2.1. Cấu hình IP Sec cho tất cả các kết nối (40)
        • 2.2.2. Cấu hình IP Sec cho kết nối được chỉ định (54)
        • 2.2.3. Connection Security Rules (57)
        • 2.2.4. Deploy connection Security Rules bằng GPO (0)
  • BÀI 3: THỰC THI DISTRIBUTED AD DS DEPLOYMENTS 1. Các thành phần Active directory (60)
    • 2. Thực thi Active directory (62)
      • 2.1. Cấu hình Child Domain trong AD (0)
      • 2.2. Thêm domain controller (0)
      • 2.3. Cấu hình DNS (72)
  • BÀI 4: OPERATIONS MASTER ROLES 1.Giới thiệu Operations master roles (77)
    • 1.1. FSMO là gì (0)
    • 1.2. Các vai trò của FSMO (0)
    • 2.1. Transfer FSMO Roles (80)
    • 2.2. Size FSMO Roles (81)
  • BÀI 5: DỊCH VỤ ROUTING 1.Giới thiệu Routing (81)
    • 2. Cấu hình Routing (84)
      • 2.1. Cài đặt role Routing and Remote Access (85)
      • 2.2. Cấu hình Static Route (86)
      • 2.3. Cấu hình Dynamic Route (90)
  • BÀI 6: DỊCH VỤ NAT 1. Giới thiệu NAT /PAT (92)
    • 2. Cấu hình NAT OUTBOUND & INBOUND ON SERVER (95)
      • 2.1. Cấu hình NAT OUTBOUND (0)
      • 2.2. Cấu hình NAT INBOUND (0)
    • 3. Bài tập nâng cao (101)
  • BÀI 7: DỊCH VỤ DHCP RELAY 1. Giới thiệu DHCP Relay Agent (102)
    • 1.1. Tại sao phải sử dụng DHCP relay agent (102)
    • 1.2. Ưu diểm của DCHP RELAY (103)
    • 1.3. Cơ chế hoạt động DHCP Relay Agent (103)
    • 1.4. Cấp phép (authorize) (104)
    • 1.5. Level option của DHCP server (105)
    • 2. Cài đặt và cấu hình DHCP Relay Agent (0)
      • 2.1. Cài đặt và cấu hình DHCP server (107)
      • 2.2. Cài đặt cấu hình DHCP Relay (114)
  • BÀI 8: DỊCH VỤ VIRTUAL PRIVATE NETWORK 1. Tổng quan về VPN (118)
    • 1.1. Khái niệm vpn (118)
    • 1.2. Lợi ích của VPN (120)
    • 1.3. Cơ chế hoạt động của VPN (120)
    • 1.4. Giao thức sử dụng VPN (121)
    • 2. Cấu hình VPN Client to Site (123)
    • 3. Cấu hình VPN Site to Site (132)
  • BÀI 9 TRIỂN KHAI CÁC DỊCH VỤ DỰA TRÊN CERTIFICATION AUTHORITY 1. Cơ sở hạ tầng khóa công khai (142)
    • 1.1. Giới thiệu về PKI (0)
    • 1.2. Chứng chỉ số (0)
      • 1.2.1 Giới thiệu (0)
      • 1.2.2. Lợi ích của chứng chỉ số (0)
    • 2. Triền khai dịch vụ CA trên môi trường windows server 2008 (0)
      • 2.1. Cài Enterprise CA (0)
      • 2.2. Cấp phát quản lý CA (0)
    • 3. Triền khai một số dịch vụ mạng sử dụng CA (0)
      • 3.1. Dịch vụ IP Sec (0)
      • 3.2. Dịch vụ Web sử dụng SSL (0)

Nội dung

Tại sao phải dùng Terminal services

Terminal Service Remote Application là một tính năng mới trên Windows Server 2008 Các chương trình ứng dụng sẽ được cài đặt sẵn trên Windows Server 2008, các máy trạm tuy không cài đặt chương trình ứng dụng, nhưng vẫn có thể khai thác các chương trình ứng dụng đó trên máy chủ thông qua Terminal Service Terminal Service có đặc điểm như sau:

-Sự truy cập liền mạch Người dùng truy cập vào các ứng dụng hosting từ xa một cách liền mach như các ứng dụng đang được cài đặt cục bộ Các ứng dụng hosting có thể cư trú trên các ứng dụng được cài đặt cục bộ.

- Quản lý ứng dụng tập trung, dễ dàng, và đơn giản.

-Dễ dàng quản lý các văn phòng chi nhánh,phù hợp nhất với những công ty không có nhân viên IT chuyên nghiệp tại các văn phòng chi nhánh.

-Sử dụng các ứng dụng không tương thích cùng với nhau trong cùng 1 hệ thống

- Các máy trạm không cần phải có cấu hình phần cứng mạnh và doanh nghiệp không phải tốn nhiều chi phí về bản quyền phần mềm khi sử dụng dịch vụ này. Tuy nhiên, doanh nghiệp vẫn phải mất chi phí bản quyền cho CAL (Client Access License), và chi phí này vẫn thấp, có thể chấp nhận được

- Máy trạm kết nối đến máy chủ thông qua Terminal Service nên máy trạm phải được cài đặt Remote Desktop Connection (RDC) 6.0 trở lên.

Các hình thức máy trạm kết nối đến máy chủ

- Có 4 cách để máy trạm kết nối đến máy chủ khi khai thác chương trình ứng dụng trên máy chủ:

Sử dụng trình duyệt web: Máy chủ phải cài đặt thêm Terminal Service Web

Access, máy trạm phải được cài đặt Remote Desktop Connection (RDC) 6.1. RDC6.1 có sẵn trong Windows Vista Service Pack 1 và Windows XP Professional Service Pack 3.

Sử dụng Network Access: Máy chủ tạo sẵn file rdp (mỗi chương trình ứng dụng tương ứng 1 file rdp) và được share trên máy chủ, máy trạm truy cập vào máy chủ, chạy trực tiếp file đó để khai thác chương trình ứng dụng trên máy chủ.

Sử dụng Network Access: Máy chủ tạo sẵn file msi (mỗi chương trình ứng dụng tương ứng 1 file msi)và được share trên máy chủ, máy trạm truy cập vào máy chủ, chạy trực tiếp file đó để cài đặt các shortcut liên kết đến chương trình ứng dụng trên máy chủ Các shortcut này được cài đặt trong Start menu của máy trạm, cụ thể là mục Remote Application Máy trạm chạy các shortcut đó để khai thác chương trình ứng dụng trên máy chủ.

Sử dụng policy (áp dụng cho môi trường Domain) để triển khai hàng loạt việc cài đặt shortcut liên kết đến chương trình ứng dụng trên máy chủ cho nhiều máy trạm.

Cài đặt và cấu hình Terminal Service

Cài đặt Terminal Services

Start –> Programs –> Administrative Tools –> Server Manager

Chuột phải Roles –> Add Roles

Hộp thoại Instruction to Terminal Services –> Next

Application Compatibility để mặc định –>Next

Authentication Method –> Chọn Do Not Require Network Level

Licensing Mode –> Configure later –> Next

Add 2 user sv1 và sv2 vào để có thể access the terminal server

Confirmation Installation –> chọn Install Sau khi cài đặt xong thì chọn Restart –

Kiểm tra Remote Connection đã được enable

Phải chuột Computer –> Chọn properties –> Remote Setting –> Tab Remote

Thêm các chương trình ứng dụng RemoteApp

- Start –> Program –> Administrative Tools ->Terminal Services ->TS RemoteApp Manager.

- Menu Action –> Add RemoteApp Programs.

Menu Action –> Add RemoteApp Programs

Choose Program to add to RemoteApp Program list –> Chọn các ứng dụng cho Client –> Next

Trong màn hình TS remote App –> Cuộn xuống cuối màn hình –> Phải chuột vào application và chọn Create Windows Installer Package

Màn hình Welcome –> Next Để mặc định các thông số cấu hình –> Next

Chia sẻ folder chứa file ứng dụng

C:\Program File –> Chuột phải lên Packaged Program –> Properties –> Share Folder –> Everyone Allow-Read –> OK

Kiểm tra trên máy client

Start –> Run –> Nhập địa chỉ ip Remote Server

Hộp thoại yêu cầu khai báo username/password đăng nhập –> Nhập sv1/123 –> OK

Chọn ứng dụng cần dùng

Nhập vào user chứng thực –> OK

Quá trình kết nối diễn ra và Ứng dụng cần dùng sẽ mờ ra

4.Triển khai các ứng dụng RemoteApp thông qua TS Web Access:

Cài đặt TS Web Access trên Terminal Server

- Server Manager –> Terminal Services –> Add Role Services.

Chọn TS Web Acess –> Next

Chọn Add Require Role Services Để các thông số mặc địnhàNextàChọn Install

Start –> Programs –> Administrative Tools –> Terminal Service –> TS RemoteApp Manager

Chuột phải các ứng dụng muốn hiển thị –> Chọn Show in TS Web Access

Kiểm tra trên Terminal Client

Mở Internet Explorer –> Khung Address nhập vào địa chỉ Terminal Server http:// 192.168.1.38/ts –> Enter

Hộp thoại khai báo username và password xuất hiện Nhập sv1/123

Sau khi đăng nhập thành công -> Lựa chọn các ứng dụng cần dùng

Bảo mật Terminal Services của Windows Server 2008

Sử dụng chứng thực Smart Cards

Sử dụng Smart Cards, người dùng không chỉ phải cung cấp các tiêu chuẩn đăng nhập hợp lệ mà còn phải có thể kết nối vật lý với thẻ thông minh đến thiết bị mà họ đang sử dụng như một thiết bị đầu cuối ở xa.

25 Để yêu cầu thẩm định thẻ thông minh, bạn phải tạo một Group Policy Object để sử dụng cho Terminal Server Trong GPO, duyệt đến Computer

Configuration\Windows Settings\Security Settings\Local Policies\Security Options và kích hoạt thiết lập Interactive Logon: Require Smart Card Thêm vào đó bạn cũng cần phải kích hoạt Smart Cards để có thể chuyển hướng đến Terminal Server bằng cách tích vào hộp kiểm Smart Cards trên tab Local Resources của Remote Desktop Connection trên các máy trạm của người dùng.

Thực thi thẩm định mức mạng đối với tất cả máy khách

Network Level Authentication (NLA) là một tính năng được giới thiệu trong phiên bản 6.0 của Remote Desktop Connection Client, tính năng này cho phép người dùng nhập vào trước các tiêu chuẩn đăng nhập của họ để sẽ được hiển thị tại cửa sổ đăng nhập của Windows Server Windows Server 2008 cho phép chúng ta sử dụng tiện ích này và yêu cầu tất cả các máy khách đang kết nối để sử dụng nó.

26 Để sử dụng NLA, bạn phải sử dụng Windows 2008 Server, và các máy khách đang kết nối phải hỗ trợ CredSSP (Windows XP SP3, Windows Vista, Windows

7) cũng như đang chạy Remote Desktop Connection 6.0 hoặc cao hơn Bạn có thể cấu hình Terminal Server của mình để yêu cầu các máy khách của nó sử dụng NLA bằng các cách sau:

 Trong suốt quá trình cài đặt Terminal Services role ban đầu, khi bạn thấy màn hìnhSpecify Authentication Method for Terminal Server, chọn tùy chọn Allow connections only from computers running Remote Desktop with Network Level Authentication.

 Truy cập Terminal Services Configuration MMC Snap-In, kích chuột phải vào kết nối terminal server đang được sử dụng bởi các máy khách và chọn properties, sau đó chọn tùy chọn Allow connections only from computers running Remote Desktop with Network Level Authentication.

 Tạo một Group Policy Object, duyệt đến Computer Configuration\

Administrative Templates\Windows Components\Terminal Services\ Terminal Server\Security, kích hoạt thiết lập Require user authentication for remote connections by using Network Level Authentication setting và sử dụng nó cho một OU gồm có terminal server.

Thay đổi cổng RDP mặc định

Mặc định, Terminal Server thường sử dụng cổng 3389 cho lưu lượng RDP Và một số hacker thành thạo trên thế giới đều biết được điều đó Chính vì vậy một trong những thay đổi nhanh nhất mà bạn có thể thực hiện đối với môi trường Terminal Server của mình để tránh những kẻ xâm nhập và thay đổi thỏa thuận cổng mặc định.

27 Để thay đổi cổng RDP mặc định cho Terminal Server, bạn hãy mở regedit và duyệt đến

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\

Terminal Server\WinStations\RDP-Tcp Tìm key PortNumber và thay thế giá trị hex 00000D3D (tương đương với 3389) thành một giá trị khác mà bạn muốn sử dụng.

Cách khác, bạn có thể thay đổi số cổng được sử dụng bởi Terminal Server của mình trên một kết nối cơ bản Vẫn sử dụng regedit, duyệt đến HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal

Server\WinStations\connection name Tiếp đó, tìm đến key PortNumber và thay thế giá trị hex bởi một giá trị khác mà bạn muốn.

Cần phải lưu ý rằng khi thay đổi thiết lập trên máy chủ này, tất cả các máy khách kết nối cần phải được bảo đảm rằng chúng đang kết nối đến Terminal Server với cổng mới đã được gắn thẻ trên địa chỉ IP của các máy chủ Cho ví dụ, việc kết nối đến Terminal Server với một địa chỉ IP trong là 192.168.0.1 có nghĩa hiện đang sử dụng cổng non-standard 8888 sẽ yêu cầu người dùng nhập 192.168.0.1:8888 vào Remote Desktop Connection.

In ấn dễ dàng và hạn chế máy in được chuyển hướng

Việc in ấn từ các thiết bị được kết nối nội bộ với các máy trạm client luôn là một yếu điểm của Terminal Services trước Windows Server 2008 Để thực hiện điều đó, bạn phải bảo đảm giống chính xác phiên bản của driver máy in đã được cài đặt trên cả máy chủ và máy khách, mặc dù vậy đôi khi sau đó vẫn không có sự làm việc Từ quan điểm bảo mật, chúng ta không bao giờ muốn cài đặt thêm nhiều driver vào hệ thống của mình ngoài những gì bắt buộc Mỗi một driver được cài đặt vào máy chủ đều có tiền ẩn khả năng mở rộng bề mặt tấn công của nó.

Windows Server 2008 đã giới thiệu một tính năng có tên Easy Print, tính năng này sẽ thay đổi triệt để cách kết nối nội bộ các máy in được quản lý Về bản chất, TS Easy Print là một driver phục vụ như một proxy để tất cả dữ liệu máy in được chuyển hướng qua Khi một máy khách in đến một thiết bị bằng driver Easy Print, các thiết lập dữ liệu và máy in sẽ được chuyển đổi thành định dạng phổ biến rồi gửi đến Terminal Server xử lý Thực hiện điều này, sau khi

28 kích in, hộp thoại máy in sẽ được khởi chạy từ máy khách, không trong terminal session Điều này có nghĩa rằng không driver nào đã được cài đặt cho Terminal Server để xử lý các công việc in từ các thiết bị in kết nối nội bộ. Để cấu hình Easy Print, bạn cần phải bảo đảm tất cả các thiết bị in được gắn nội bộ phải có các máy in logic được cấu hình trên các máy khách đã thiết lập để sử dụng driver của Easy Print Tính năng Easy Print được hỗ trợ bởi tất cả các máy khách Windows XP SP3, Windows Vista và Windows 7 đang chạy Remote Desktop Connection 6.1 hoặc mới hơn và NET Framework 3 SP1.

Khi đã cấu hình các thiết bị gắn nội bộ ở mức máy trạm, bạn cần bảo đảm rằng máy in duy nhất được chuyển hướng đến Terminal Server là máy in đang sử dụng TS Easy Print, thành phần được thiết lập như một máy in mặc định Bạn có thể thực hiện điều này bằng cách tạo một Group Policy Object và duyệt đến Computer Configuration\ Administrative Templates\Windows

Components\Terminal Services\Terminal Server\Printer Redirection , sau đó kích hoạt tùy chọn Redirect only the default client printer.

Hạn chế các tài khoản người dùng

Chúng ta cần phải biết rằng, khi một người dùng nào đó đang kết nối hay đang làm việc trực tiếp từ một máy chủ vốn đã có sự truy cập đến một vài thứ mà họ không cần đến, và để tạo một môi trường an toàn hơn, chúng ta cần phải hạn chế điều đó Đây không chỉ là biện pháp để bảo vệ các tiêu chuẩn của người dùng đang được thỏa hiệp mà còn bảo vệ người dùng chính đáng với những ý định không chính đáng Một số thứ mà chúng ta có thể thực hiện ở đây là:

Sử dụng các tài khoản cụ thể cho người dùng

Cấu hình bảo mật bổ sung bằng Group Policy

Nhiều cải tiến bảo mật cho các môi trường Terminal Server được cung cấp thông qua Group Policy Đây là một số ví dụ điển hình mà chúng tôi muốn giới thiệu cho các bạn.

- Hạn chế người dùng Terminal Services vào một Session từ xa

Trong hầu hết các trường hợp, một người dùng không cần khởi tạo nhiều session trên một Terminal Server Việc cho phép người dùng khởi tạo nhiều session sẽ làm cho môi trường của bạn có nhiều lỗ hổng cho tấn công từ chối dịch vụ (DoS), do các tiêu chuẩn của người dùng bị thỏa hiệp Bạn có thể cấu hình thiết lập này bằng cách duyệt đến Computer Configuration\Administrative

Templates\Windows Components\Terminal Services\Terminal

Server\Connections bên trong GPO của bạn.

- Không cho phép sự chuyển hướng drive

Trừ khi bạn có một nhu cầu nào đó thật cần thiết, khi đó mới cho phép người dùng truy cập vào các ổ đĩa nội bộ từ một Terminal Server session vì hành động này có thể tạo một kênh truyền thông không an toàn Với khả năng này, người dùng không chỉ copy dữ liệu vào một Terminal Server mà dữ liệu có thể chứa mã độc và có thể được thực thi trên máy chủ.

Bạn có thể cấu hình thiết lập này bằng cách duyệt đến Computer

Configuration\Administrative Templates\Windows Components\Terminal Services\Terminal Server\Device and Resource Redirection bên trong GPO. Thiết lập hạn chế thời gian cho các Session bị hủy kết nối

Nhìn chung, chúng ta nên cho phép người dùng thoát khoải một session mà không cần đăng xuất hoàn toàn Vì khi ai đó có thể tăng điều khiển trên session này thì họ có thể sẽ truy cập vào phần dữ liệu nhạy cảm hoặc biết được răng họ đã được xác thực cho ứng dụng mạng khác Cách tốt nhất để khắc phục tình trạng này là thiết lập sự hạn chế về thời gian ở mức thấp để hủy kết nối các session Khi đến giới hạn thời gian, session sẽ bị đóng lại.

Bạn có thể cấu hình thiết lập này bằng cách duyệt đến Computer

Configuration\Administrative Templates\Windows Components\Terminal Services\Terminal Server\Session Time Limits bên trong GPO.

- Vô hiệu hóa bộ cài Windows

Chỉ các quản trị viên mới có quyền cài đặt các ứng dụng vào Terminal Server Trong hầu hết các trường hợp, không cho người dùng được phép cài đặt các ứng dụng nếu họ không đăng nhập với quyền quản trị viên Mặc dù vậy, nếu một số người dùng nào đó được cho là cần phải có hành động nâng đặc quyền thì bạn có thể hạn chế khả năng cài đặt một số chương trình bằng cách vô hiệu hóa Microsoft Windows Installer.

Có thể cấu hình thiết lập này bằng cách duyệt đến Computer

Configuration\Administrative Templates\Windows Components\Windows Installer bên trong GPO Cần lưu ý rằng bạn phải cấu hình thiết lập này là

Enabled thay cho Always Như vậy sẽ bảo đảm rằng bạn vẫn có thể publish các ứng dụng cho Terminal Server thông qua Group Policy Còn sử dụng tùy chọn Always sẽ không cho phép bạn thực hiện điều đó.

Mặc dù chúng ta (các quản trị viên) có cung cấp nhiều location riêng và công cho việc lưu trữ bảo mật dữ liệu nhưng một số người dùng của chúng ta vẫn tùy tiện lưu dữ liệu trên desktop của họ Tuy nhiên có một cách để tạo một bức tường bảo vệ dữ liệu cho họ đó là chúng ta có thể chuyển hướng (redirect) desktop của họ đến một location lưu trữ thích hợp trên một file server.

Bạn có thể cấu hình thiết lập này bằng cách duyệt đến User

Configuration\Windows Settings\Folder Redirection bên trong GPO Desktop của người dùng là thư mục mà chúng ta có thể chuyển hướng.

- Chặn truy cập vào Control Panel

Cũng như với Microsoft Installer, người thông thường không nên truy cập vào Control Panel nói chung Mặc dù vậy, nếu những người nào đó cần phải có các đặc quyền quản trị viên để thực hiện một số thao tác thì bạn cũng có thể hạn chế sự truy cập của họ vào control panel bằng cách cấu hình thiết lập này.

Bạn có thể cấu hình thiết lập này bằng cách duyệt đến User Configuration\

Administrative Templates\Control Panel bên trong GPO.

Các thiết lập log Microsoft khuyên dùng dưới đây:

 Audit Account Logon Events - No Auditing

 Audit Account Management - Audit Success and Failure

 Audit Directory Services Access - No Auditing

 Audit Logon Events - Audit Success and Failure

 Audit Object Access - Audit Failure

 Audit Policy Change - Audit Success and Failure

 Audit Privilege Use - Audit Failure

 Audit Process Tracking - Audit Failure

 Audit System Events - Audit Success and Failure

Cùng với các thiết lập đó, bạn cũng có thể sử dụng log kết nối Connection Auditing bên trong Terminal Services Cách thức này sẽ cho phép bạn ghi lại

31 một vài mục cụ thể của Terminal Server Để xem và cấu hình các thiết lập này,bạn hãy mở Terminal Services Configuration snap-in, kích chuột phải vào kết nối mà bạn muốn kích hoạt thẩm định, sau đó kích Properties Vào tab Security,kích Advanced, đánh tên người dùng của tài khoản muốn kích hoạt ghi log Ở đây bạn có thể chọn một trong các tùy chọn được liệt kê sẵn.

TÍNH NĂNG BẢO MẬT NÂNG CAO SERVER 1 Thiết lập Advanced Firewall

Giới thiệu

Windows Server 2008 giới thiệu một tường lửa mới và có nhiều cải thiện đáng kể; Windows Firewall với Advanced Security Tường lửa mới này trong Windows có nhiều cải thiện và cũng rất giống với tường lửa được giới thiệu trong Windows Vista Các tính năng mới có trong tường lửa mới này về vấn đề bảo mật nâng cao gồm có:

 Nhiều điều khiển truy cập đi vào

 Nhiều điều khiển truy cập gửi đi

 Tích hợp chặt chẽ với Windows Server 2008 Server Manager, với cấu hình tự động của tường lửa khi các dịch vụ được cài đặt bằng Server Manager.

 Cấu hình và việc quản lý chính sách IPsec được cải thiện mạnh mẽ, bên cạnh đó là còn có cả sự thay đổi tên Các chính sách IPsec hiện được khai báo như các rule bảo mật kết nối (Connection Security Rules).

 Kiểm tra chính sách tường lửa được cải thiện

 Kiểm tra các chính sách IPsec được cải thiện (giờ đây được gọi là các Rule bảo mật kết nối)

 Kiểm tra tập trung các trong việc kết hợp chế độ bảo mật Main và Quick được cải thiện

Cấu hình Advanced FireWall

Chuẩn bị : 2 máy Windows Server 2008 R2

DC2 : turn off firewall, cài đặt IIS và tạo 1 trang wed với nội dung tùy ý.

B1 : DC1 truy cập vào trang wed nội bộ của DC2 và

DC1 đang tạo kết nối đến DC2 bằng 2 port 80 ( wed ) và

Thực hiên máy DC2 : cho phép truy cập wed nội bộ và Network Access vào DC2

B2 : Từ DC1 truy cập vào web DC2 : không được

Policy mở theo đường hướng dẫn trong hình  chuột phải lên

B8 : Đặt tên rule là Allow wed  Next

Allow wed đã được tạo.

B10 : Làm lần lượt tương tự từ B1- B9 để tạo thêm rule cho phép truy cập Network Access

- Ping trên DC2 : không được

- Truy cập thử trang wed của DC2 ( http://172.168.1 20 ) truy cập thành công.

- Truy cập qua DC2 bằng Network access ( \\172.168.1.20 )  thành công

Mở CMD  nslookup vnexpress.net thấy kết quả trả về IP là: 111.65.248.132 Thực hiện trên máy DC2 cấm truy cập trang wed vnexpress.net có địa chỉ IP là 111.65.248.132

B3 : Chọn Browsechỉ đường hướng dẫn đến: C:\

Internet Explore\ iexplore.exe  Next

B4 : khai báo các thông số :

- Which Local IP addresses does this rule match : any IP address

- Which Remote IP addresses does this rule match :these IP address

- Mở IE truy cập trang wed http://vnexpress.net  không thể truy cập

 Mở Outbound rule  chuột phải lên Rule

Disable Rule  mở IE truy cập http://vnexpress.net  thành công.

IP SECURITY

IPsec (IP security) bao gồm một hệ thống các giao thức để bảo mật quá trình truyền thông tin trên nền tảng Internet Protocol (IP) Bao gồm xác thực và/ hoặc mã hoá (Authenticating and/or Encrypting) cho mỗi gói IP (IP packet) trong quá trình truyền thông tin IPsec cũng bao gồm những giao thức cung cấp cho mã hoá và xác thực.

Giao thức IPsec được làm việc tại tầng Network Layer – layer 3 của mô hình OSI Các giao thức bảo mật trên Internet khác như SSL, TLS và SSH, được thực hiện từ tầng transport layer trở lên (Từ tầng 4 tới tầng 7 mô hình OSI). Điều này tạo ra tính mềm dẻo cho IPsec, giao thức này có thể hoạt động từ tầng

4 với TCP, UDP, hầu hết các giao thức sử dụng tại tầng này IPsec có một tính năng cao cấp hơn SSL và các phương thức khác hoạt động tại các tầng trên của

38 mô hình OSI Với một ứng dụng sử dụng IPsec mã (code) không bị thay đổi, nhưng nếu ứng dụng đó bắt buộc sử dụng SSL và các giao thức bảo mật trên các tầng trên trong mô hình OSI thì đoạn mã ứng dụng đó sẽ bị thay đổi lớn.

2.1.2 Cấu trúc bảo mật của IP SEC

Khi IPsec được triển khai, cấu trúc bảo mật của nó gồm:

(1) Sử dụng các giao thức cung cấp mật mã (cryptographic protocols) nhằm bảo mật gói tin (packet) trong quá trình truyền

(2) Cung cấp phương thức xác thực

(3) Thiết lập các thông số mã hoá.

Xây dựng IPsec sử dụng khái niệm về bảo mật trên nền tảng IP Một sự kết hợp bảo mật rất đơn giản khi kết hợp các thuật toán và các thông số (ví như các khoá – keys) là nền tảng trong việc mã hoá và xác thực trong một chiều Tuy nhiên trong các giao tiếp hai chiều, các giao thức bảo mật sẽ làm việc với nhau và đáp ứng quá trình giao tiếp Thực tế lựa chọn các thuật toán mã hoá và xác thực lại phụ thuộc vào người quản trị IPsec bởi IPsec bao gồm một nhóm các giao thức bảo mật đáp ứng mã hoá và xác thực cho mỗi gói tin IP.

IPsec là một phần bắt bược của IPv6, có thể được lựa chọn khi sử dụng IPv4 Trong khi các chuẩn đã được thiết kết cho các phiên bản IP giống nhau, phổ biến hiện nay là áp dụng và triển khai trên nền tảng IPv4.

IPsec được cung cấp bởi Transport mode (end-to-end) đáp ứng bảo mật giữa các máy tính giao tiếp trực tiếp với nhau hoặc sử dụng Tunnel mode (portal-to-portal) cho các giao tiếp giữa hai mạng với nhau và chủ yếu được sử dụng khi kết nối VPN.

IPsec có thể được sử dụng trong các giao tiếp VPN, sử dụng rất nhiều trong giao tiếp Tuy nhiên trong việc triển khai thực hiện sẽ có sự khác nhau giữa hai mode này.

Giao tiếp end-to-end được bảo mật trong mạng Internet được phát triển chậm và phải chờ đợi rất lâu Một phần bở lý do tính phổ thông của no không cao, hay không thiết thực, Public Key Infrastructure (PKI) được sử dụng trong phương thức này.

IPsec đã được giới thiệu và cung cấp các dịch vụ bảo mật:

1 Mã hoá quá trình truyền thông tin

2 Đảm bảo tính nguyên vẹn của dữ liệu

3 Phải được xác thực giữa các giao tiếp

4 Chống quá trình replay trong các phiên bảo mật.

Có hai mode khi thực hiện IPsec đó là: Transport mode và tunnel mode.

Trong Transport mode, chỉ những dữ liệu bạn giao tiếp các gói tin được mã hoá và/hoặc xác thực Trong quá trình routing, cả IP header đều không bị chỉnh sửa hay mã hoá; tuy nhiên khi authentication header được sử dụng, địa chỉ IP không thể biết được, bởi các thông tin đã bị hash (băm) Transport và application layers thường được bảo mật bởi hàm băm (hash), và chúng không

39 thể chỉnh sửa (ví dụ như port number) Transport mode sử dụng trong tình huống giao tiếp host-to-host. Điều này có nghĩa là đóng gói các thông tin trong IPsec cho NAT traversal được định nghĩa bởi các thông tin trong tài liệu của RFC bởi NAT-T.

Trong tunnel mode, toàn bộ gói IP (bao gồm cả data và header) sẽ được mã hoá và xác thực Nó phải được đóng gói lại trong một dạng IP packet khác trong quá trình routing của router Tunnel mode được sử dụng trong giao tiếp network-to-network (hay giữa các routers với nhau), hoặc host-to-network và host-to-host trên internet.

- Cấu hình IP Sec cho tất cả các kết nối

- Cấu hình IP Sec cho kết nối được chỉ định

- Deploy connection Security Rules bằng GPO

Chuẩn bị : bài lab sử dụng 3 máy tính

- Cả 3 máy tắt filewall, kiểm tra đường truyền lệnh PING

2.2.1 Cấu hình IP Sec cho tất cả các kết nối : thực hiện trên DC2:

- Cài đặt network Monitor, Capture gói tin

B3 : Chọn I accept the terms in the Licence

B4 : Chọn I do not want to use Microsoft

B7 : Khởi động chương trình Network Monitor trên Desktop  chọn

B10 : Giữ nguyên chương trình Network

Monitor , DC2 ra command line ping

B11 : Quay trở lại màn hình Network Monitor quan sát đã capture được gói tin PING

- Chọn gói tin ICMP  chọn

PING đã bắt dầu bằng a, b, c, d

Cấu hình IP sec trên DC2 & DC3

B1 : Start  run  đánh lệnh MMC

Policies là Preshare key  Next

B1 : Chuột phải lên Preshare key

B4 : Chọn This rule does not specify a tunnel

B19 : Chọn Do not allow unsecures communication

B23 : Chọn Use this string to protect the key exchange  điền vào ô trống : khoaviet

B26 : Chuột phải lên Preshare Key

Capture mới và chọn Start

- Quan sát trên máy tính màn hình Network

Monitor  gói tin Ping đã được mã hóa

2.2.2.Cấu hình IP Sec cho kết nối được chỉ định

B1 : Chuột phải lên policies Preshare

Destination address : A specific IP address or Subnet

Subnet : điền IP của DC3  OK

B6 : Mở Service trong administrative tools  chuột phải lên IPsec Policy

Cấu hình để nhứng máy nào có Preshare key mới có thể tạo kết nối tới DC2 Trên cấu hình DC2 & DC3 xóa các Policies IP Sec đã tạo

run đánh lệnh Secpol.msc

Require authentication for inbuond and outbound connections

B9 : Đặt tên rule là Preshare Key

B10 : DC1 thử truy cập Network

B11 : DC3 thực hiện lại các thao tác từ B1 – B9 của DC2

Lưu ý : Preshare key phải giống với Preshare

Key đã khai báo trên DC2

Kiểm tra : DC3 truy cập Network

DC2 : truy cập thành công

THỰC THI DISTRIBUTED AD DS DEPLOYMENTS 1 Các thành phần Active directory

Thực thi Active directory

- Nâng cấp DC1 lên domain controller

- Thêm máy domain controller thứ 2

Mô hình IP bài LAB

Computer name DC1(Primary domain controller)

Nâng cấp DC1 lên domain controller tên miền brtvc.edu.vn (tham khảo QTM1)

Tạo child domain khoacntt.brtvc.edu.vn

Xây dựng máy DC5 thành Child Domain quản lý miền khoacntt.brtvc.edu.vn là miền con của brtvc.edu.vn

- Chọn Start > chọn Run > gõ lệnh: DCPROMO Tại cửa sổ “Operating

Tại cửa sổ “Choose a Deployment Configuration”, chọn mục Existing forest, chọn “Create a new domain in an existing forest”, chọn Next

- Tại cửa sổ “Network Credentials”, nhập vào thông tin tên miền tồn tại trong

Domain Forest, khai báo thông tin về tài khoản chứng thực, chọn Next

- Tại cửa sổ “Name the New Domain”, nhập vào thông tin về miền cha, thông tin về tên miền con, chọn Next

- Tại cửa sổ “Set Domain Function Level”, lựa chọn mức độ chức năng trên

- Tại cửa sổ “Select a Site”, chọn mục “Default First Site Name”, chọn Next

Tại cửa sổ “Additional Domain Controller Options”, chọn mục DNS Server, chọn Next

- Tại cửa sổ “Location for Database, Log Files, and SYSVOL”, chọn Next

- Tại cửa sổ “Directory Services Restore Mode Administrator Password”, nhập vào mật khẩu, sau đó chọn Next

Tại cửa sổ “Summary”, chọn Next

- Quá trình nâng cấp Windows Server 2008 thành Domain Controller diễn ra… Sau khi nâng cấp thành công, chọn Finish để khởi động lại hệ thống.

2.2 Thêm máy domain controller thứ 2

Dựng máy DC4 thành domain controller thứ 2 cho domain brtvc.edu.vn Khai báo IP máy DC4

Nhấn Start > Run :gõ lệnh DCPROMO, màn Hình “Welcome to the

Active Directory Domain Services Installation Wizard” xuất hiện, chọn Next:

Tại cửa sổ “Operating System Compability”, chọn Next

Tại cửa sổ “Choose a Deployment Configuration”, chọn mục “Existing forest”, chọn “Add a domain controller to an existing domain”, chọn Next:

Tại cửa sổ “Network Credentials”, nhập vào tên miền cần cho phép máy

DC4 gia nhập vào với chức năng Additional Domain Controller, chọn nút Set để nhập thông tin về tài khoản được phép cho máy tính DC4 gia nhập vào miền brtvc.edu.vn, chọn Next:

Tại cửa sổ “Select a Domain”, chọn tên miền sẽ gia nhập vào, chọn Next:

Tại cửa sổ “Select a Site”, chọn Site cần thiết, chọn Next:

Tại cửa sổ “Additional Domain Controller Options”, chọn mục 2 mục DNS

Server và Global Catalog, chọn Next:

Tại hộp thoại kế tiếp, Windows sẽ cảnh báo liên quan đến dịch vụ DNS, chọn

Tại cửa sổ “Location for Database, Log Files, and SYSVOL”, chọn Next:

Tại cửa sổ “Directory Services Restore Mode Administrator Password”, nhập vào mật khẩu, sau đó chọn Next:

Tại cửa sổ “Summary”, chọn Next:

Quá trình nâng cấp Windows Server 2008 thành Additional Domain

Sau khi nâng cấp thành công, chọn Finish để khởi động lại hệ thống:

Vào Start > Progams > Administrative Tools > Active Directory Users and

Computer ( Kiểm tra đồng bộ các đối tượng trên cả 2 Server )

2.3.Cấu hình DNS cho các domain

 Cấu hình DNS tại DC1

Parent domain Delegation , child domain stubzone

- B1 : cấu hình DNS primary miền brtvc.edu.vn (xem LAB quản trị mạng 1)

- B2: Ủy quyền cho miền khoacntt.brtvc.edu.vn cho

Mở DNS tại tên miền brtvc.edu.vn > New Delegation, màn hình Welcome to the New Delegation Wizard xuấthiện, chọn Next.

Tại màn hình Name Servers, chọn nút Add để mô tả thông tin Name Server.

Tại hộp thoại New Name Server Record, nhập thông tin của Name Server quản lý miền con, nhấp OK, sau đó chọn Next.

Tại màn hình New Delegation Wizard, nhấp Finish để kết thúc.

Tạo Forwarder trên DC1 để nhờ DC5 phân giải hộ:

Nhấp phải trên DNS Server, chọn Properties, chọn tab Forwarders.

Tại hộp thoại Properties > Forwarder, chọn Edit để nhập vào địa chỉ IP của máy cần Forwarder

 Cấu hình DNS tại DC5 (child domain)

- B1 : cấu hình DNS primary miền khoacntt.brtvc.edu.vn (xem LAB quản trị mạng 1)

- B2: tạo Stub zone brtvc.edu.vn mà parent domain đã ủy quyền

Nhập tên miền brtvc.edu.vn muốn stubzone

Nhập IP tên miền brtvc.edu.vn muốn stubzone -> next -> finish

OPERATIONS MASTER ROLES 1.Giới thiệu Operations master roles

Transfer FSMO Roles

Chuyển vai trò Roles từ domain controller này sang domain Controller khác khi máy server nắm giữ roles FSMO còn hoạt động

Thao tác transfer Roles bằng đồ họa

Bước 1 Cài đặt Additional Domain Controller từ primary domain controller đang nắm giữ FSMO roles.

Bước 2 Trên Additional Domain Controller, vào Active Directory Users and Computers Chuột phải lên domain cần chuyển đổi FSMO chọn Operations Master

Bước 3 Trong hộp thoại Operations Master, lần lượt chọn Change tại 3 tab RID, PDC, Infrastructure để tiến hành chuyển đổi FSMO.

Thao tác transfer Roles bằng dòng lệnh

Trước tiên kết nối vào máy Domain Controller đang nắm giữa roles mà ta muốn chuyển Mở command line nhập các dòng lệnh sau :

To summarize ntdsutil commands: ntdsutil (enter) ntdsutil: roles (enter) fsmo maintenance: connections (enter) server connections: connect to server (enter) server connections: quit (enter) fsmo maintenance: transfer schema master (enter)

2003 server:fsmo maintenance: transfer domain naming master (enter)

2008 server: fsmo maintenance: transfer naming master (enter) fsmo maintenance: transfer rid master (enter) fsmo maintenance: transfer pdc (enter) fsmo maintenance: transfer infrastructure master (enter) fsmo maintenance: quit (enter) ntdsutil: quit (enter)

Size FSMO Roles

Khi Domain Controller nắm vai trò FSMO ngừng hoạt động ta phải bình bầu roles cho domain controller khác đang hoạt động trong cùng một miền bằng cách sử dụng dòng lệnh sau :

Trước tiên kết nối vào máy Domain Controller mà ta muốn size quyền FSMO Mở command line nhập các dòng lệnh sau :

To summarize ntdsutil commands: ntdsutil (enter) ntdsutil: roles (enter) fsmo maintenance: connections (enter) server connections: connect to server (enter) server connections: quit (enter) fsmo maintenance: Seize schema master (enter)

2003 server:fsmo maintenance: Seize domain naming master (enter)

2008 server: fsmo maintenance: Seize naming master (enter) fsmo maintenance: Seize rid master (enter) fsmo maintenance: Seize pdc (enter) fsmo maintenance: Seizei frastructure master (enter) fsmo maintenance: quit (enter) ntdsutil: quit (enter)

DỊCH VỤ ROUTING 1.Giới thiệu Routing

Cấu hình Routing

- Cài đặt role Routing and Remote Access

Chuẩn bị : 4 máy Windows Server 2008 R2

Khai báo IP 4 máy như sau:

- Turn off fierwall trên 4 máy

- DC1 ping DC2 : ping OK

- DC2 ping DC3 : ping OK

- DC3 ping DC4 : ping OK

- DC1 ping DC4 : ping OK

2.1 Cài đặt Role Routing and Remote Access

Thực hiện trân máy DC2 và DC3

2.2 Cấu hình Static Route : thực hiện DC2 và DC3

B1 : mở theo hướng dẫn trong hình

B1 : mở theo hướng dẫn trong hình

Tại DC2  mở command line  đánh lệnh Route

Print  quan sát thấy tồn tại route

Mở Routing and Remote Access  mở Static Route  chọn Static Route 192.168.1.0 đã tạo  nhấn phím Delete  ra Command line đánh lệnh Route Print  không có Route 192.168.1.0

- Tại DC3 : thực hiện tương tự : Xóa Route 172.16.1.0

Dùng giao thức động RIP : thực hiện DC2 và DC3

B1 : mở hương dẫn trong hình  chuột phải lên General  chọn

B2 : Chọn RIP version 2 for Internet Protocol 

DỊCH VỤ NAT 1 Giới thiệu NAT /PAT

Cấu hình NAT OUTBOUND & INBOUND ON SERVER

- Cài đặt Role routing and remote access

Chuẩn bị : 3 máy Windows Server 2008 R2

Cài đặt Role Routing and Remote Access

Thực hiện trên máy DC2 :

Configure and enable Routing and remote access

B9 : Chọn Private interface connected to private network

Thực hiện tương tự cho Interface:

B12 :Chọn Public interface connected to the interface và

Enable NAT on this interface  OK

- Thực hiện trên máy DC2

- Mở IE truy cập thử trang wed của

NAT chuột phải lên card LAN

B4 : chuột phải lên DC3  chọn

DC3 truy cập website của PC 01 bằng IP card Lan của PC 02: http://

Bài tập nâng cao

DỊCH VỤ DHCP RELAY 1 Giới thiệu DHCP Relay Agent

Tại sao phải sử dụng DHCP relay agent

Khi giữa clients và DHCP server có nhiều mạng khác tương ứng với nhiều router khác thì cần phải cấu hình DHCP relay agent vì clients sử dụng địa chỉ broadcast để quảng bá yêu cầu cấp phát IP, khi gói tin gửi bằng broadcast đến Router thì sẽ bị loại bỏ, do vậy phải có cách để cho các router trung gian chấp nhập những gói tin broadcast này và gửi đến DHCP server, cách này chính là DHCP relay agent.

Nếu mỗi mạng chúng ta dựng lên 1 DHCP Server thì tốn kém và không cần thiết, việc bảo trì cũng như quản lý rất khó khăn.

Có thể cấu hình Router để các tín hiệu Broadcast đi qua nhưng việc này sẽ gây những rắc rối khi hệ thống mạng gặp trục trặc Thêm nữa là lưu lượng các các gói tín Broadcasd quá nhiều sẽ làm tắt nghẽn hệ thống mạng.

Ưu diểm của DCHP RELAY

- Phù hợp với các máy tính thường xuyên di chuyển giữa các lớp mạng.

- Kết hợp với hệ thống mạng không dây ( Wireless) cung cấp tại các điểm – Hotspot như: nhà ga, sân bay, khách sạn, trường học.

- Thuận tiện cho việc mở rộng hệ thống mạng.

Cơ chế hoạt động DHCP Relay Agent

Gồm 8 bước hoạt động DHCP relay

2.2 Client Broadcasts gói tin DHCP Discover trong nội bộ mạng.

 DHCP Relay Agent trên cùng mạng với Client sẽ nhận gói tin đó và chuyển đến DHCP server bằng tín hiệu Unicast.

 DHCP server dùng tín hiệu Unicast gởi trả DHCP Relay Agent một gói DHCP Offer

 DHCP Relay Agent Broadcasts gói tin DHCP Offer đó đến các Client Sau khi nhận được gói tin DHCP Offer, client Broadcasts tiếp gói tin DHCP Request.

 DHCP Relay Agent nhận gói tin DHCP Request đó từ Client và chuyển đến DHCP server cũng bằng tín hiệu Unicast.

7 DHCP server dùng tín hiệu Unicast gởi trả lời cho DHCP Relay Agent một gói DHCP ACK.

8 DHCP Relay Agent Broadcasts gói tin DHCP ACK đến Client Đến đây là hoàn tất quy trình tiếp nhận xử lý và chuyển tiếp thông tin của DHCP Relay Agent.

Cấp phép (authorize)

Một DHCP service Bạn phải cấp phép (hay còn gọi là ủy quyền) một DHCP server trước khi nó có thể thực hiện việc cho DHCP client thuê địa chỉ IP Việc yêu cầu cấp phép cho các DHCP server sẽ ngăn chặn việc các DHCP server có khả năng cung cấp các địa chỉ IP không hợp lệ cho các client (hay còn gọi là DHCP giả mạo) trong nội bộ domain của chúng ta Để thực hiện được việc này bạn phải logon bằng user nằm trong group Enterprise Admins.

Theo mô hình trên, giả sử chúng ta có 2 Server chùng chạy dịch vụ DHCP (tạm gọi đó là DHCP Server1 và DHCP Server2) trong nội bộ domain của mình. Nhưng chỉ có duy nhất DHCP Server1 là được cấp phép chạy dịch vụ này Đầu tiên khi dịch vụ DHCP trên Server1 được kích hoạt (start) thì Server1 sẽ kiểm tra xem dịch vụ DHCP của mình có được Domain Controller cấp phép hoạt động hay không? Bằng cách gửi một yêu cầu đến máy chủ Domain Controller nhờ kiểm tra dùm mình có được phép cấp IP động cho nội bộ domain hay không.

Sau khi nhận được yêu cầu kiểm tra này từ phía DHCP Server1, Domain Controller sẽ tiến hành kiểm tra xem Server1 có được cấp phép hoạt động dịch DHCP hay không

Vì Server1 đã được cấp phép hoạt động dịch vụ DHCP nên Server1 được phép cung cấp địa chỉ IP động cho các DHCP client trong nội bộ domain

Ngược lại với Server1, Server2 sau khi khởi động dịch vụ DHCP cũng tiến hành nhờ Domain Controller kiểm tra Do không được cấp phép hoạt động dịch vụ, cho nên mặc dù dịch vụ đã được start nhưng Server2 vẫn không được phép cung cấp địa chỉ IP động cho nội bộ domain

Nếu DHCP server là không được authorize thì DHCP service sẽ log (ghi lại) một error trong system log (các bạn có thể tìm thấy trong Administrative Tools/Event log) Cuối cùng DHCP Client xin được IP từ DHCP Server1.

Level option của DHCP server

Phân biệt sự khác nhau giữa các level như server, scope, class và reserved client trong dịch vụ DHCP

+ Server level : các option khai báo ở cấp độ server sẽ được áp đặt tới tất cả các DHCP client của DHCP Server Đây là option có độ ưu tiên thấp nhất

+ Scope level : các option khai báo ở cấp độ scope sẽ được áp đặt tới tất cả các DHCP client của riêng scope đó mà thôi, các scope khác sẽ không chịu ảnh hưởng Đây là option có độ ưu tiên cao hơn option ở cấp độ server level

+ Class level : Các option khai báo ở cấp độ class level sẽ được áp đặt tới những thành viên của class Độ ưu tiên của các option này cao hơn option ở cấp độ scope level

Cài đặt và cấu hình DHCP Relay Agent

2.3 Cài đặt và cấu hình DHCP Relay Agent

2.1 Cài đặt và cấu hình DHCP server

- Cài đặt Role DHCP trên DHCP Server

- Cấu hình tạo Scope trên DHCP server

- Cấu hình thêm Scope Option trên DHPC server

- Cấu hình để Client nhận IP tự động từ DHPC server

- 2 máy kiểm tra đường truyền bằng lệnh Ping

- Máy DC1 cài đặt Wins

Cài đặt Role DHPC trên DHPC server

B6 : Giữ nguyên mặc định  chọn next

 Điền thông số về Range IP sẽ cấp phát cho

Khai báo các thông số trong Scope :

B3 : Thực hiện tương tự để tạo scope options : 006 DNS server trở về

 nhập vào tại String value: khoaviet.edu.vn

Quan sát Scope option đã được tạo

Cấu hình để Client nhận IP tự động từ DHPC server

B1 : Mở Properties card mạng bỏ dấu chọn trước dòng

- _ Obtain and IP address automatically

_ Obtain DNS server address automatically 

OK  đóng cửa sổ properties của card mạng lại.

Line  đánh lệnh ipconfig/ release 

- Đánh lệnh ipconfig/all quan sát thấy PC1 đã nhận dược IP và các thông số khác được cấp tự động từ

Command Line  đánh lệnh ipconfig/ all

Ghi nhận lại thông số của dòng physical Address:

B2 : PC1 mở DHPC trong Administrate toolschuột phải lên Resevations  chọn New

B3 : điền thông số như trong hình

Lưu ý : MAC address điền thông số đã ghi nhận trên

- Tại PC1 đánh lệnh ipconfig/release và ipconfig/ renew để xin cấp IP mới, IP của PC1 được cấp luôn luôn là 172.16.1.100

2.2 Cài đặt cấu hình DHCP Relay

Giới thiệu : bài lab bao gồm nội dung chính sau

- Cấu hình DHCP Relay Agent trên DC2

- Cấu hình để máy Client nhận IP từ DHCP server

- Đặt IP cho 3 máy theo bảng sau :

- DC1 cấu hình Lan routing

- Cả 3 máy tắt Firewall, PC1 ping DC2: OK, DC2 ping PC1 : OK

- DC2 : cài đặt DHCP Server và tạo scope cấp IP cho range

192.168.1.0/24 với scope options :003 Default gateway chỉ về

1 Cấu hình DHCP Relay Agent trên DC2

Tools  chuột phải lên General trong

2 Cấu hình để máy Client nhận IP từ DHCP server

B1 : Chỉnh chế độ đặt IP về obtain ( xem lại bài DHCP )

B2 : Vào command line đánh lệnh

Client đã nhận được IP từ DHCP server

DỊCH VỤ VIRTUAL PRIVATE NETWORK 1 Tổng quan về VPN

Khái niệm vpn

Virtual Private Networks (VPN) hay gọi là mạng riêng ảo, nhằm đáp ứng nhu cầu chia sẻ thông tin, truy cập từ xa và tiết kiệm chi phí, nó cho phép bạn

118 mở rộng phạm vi mạng nội bộ (LAN) bằng cách sử dụng lợi thế của mạng Internet.

VPN cho phép tạo một mạng riêng ảo trên nền mạng Internet để có thể trao đổi dữ liệu và khai thác các dịch vụ trên mạng.

Dữ liệu truyền qua VPN được mã hóa

Công nghệ VPN chỉ rõ 3 yêu cầu cơ bản:

 Cung cấp truy nhập từ xa tới tài nguyên của tổ chức mọi lúc, mọi nơi.

 Kết nối các chi nhánh văn phòng với nhau.

 Kiểm soát truy nhập của khách hàng, nhà cung cấp và các thực thể bên ngoài tới những tài nguyên của tổ chức

Các mô hình VPN bao gồm:

 Truy Cập từ xa (remote-Access)

Hay cũng được gọi là Mạng quay số riêng ảo (Virtual Private Dial-up Network) hay VPDN, đây là dạng kết nối User-to-Lan áp dụng cho các công ty mà các nhân viên có nhu cầu kết nối tới mạng riêng (private network) từ các địa điểm từ xa và bằng các thiết bị khác nhau.

Khi VPN được triển khai, các nhân viên chỉ việc kết nối Internet thông qua các ISPs và sử dụng các phần mềm VPN phía khách để truy cập mạng công ty của họ Các công ty khi sử dụng loại kết nối này là những hãng lớn với hàng trăm nhân viên thương mại Các Truy Cập từ xa VPN đảm bảo các kết nối được bảo mật, mã hoá giữa mạng riêng rẽ của công ty với các nhân viên từ xa qua một nhà cung cấp dịch vụ thứ ba (third-party)

Bằng việc sử dụng một thiết bị chuyên dụng và cơ chế bảo mật diện rộng, mỗi công ty có thể tạo kết nối với rất nhiều các site qua một mạng công cộng như Internet.

Site-to-site VPN có thể thuộc một trong hai dạng sau:

 Intranet VPN Áp dụng trong trường hợp công ty có một hoặc nhiều địa điểm ở xa, mỗi địa điểm đều đã có một mạng cục bộ LAN Khi đó họ có thể xây dựng một mạng riêng ảo để kết nối các mạng cục bộ vào một mạng riêng thống nhất.

Khi một công ty có mối quan hệ mật thiết với một công ty khác (ví dụ như đối tác cung cấp, khách hàng ), họ có thể xây dựng một VPN extranet (VPN mở rộng) kết nối LAN với LAN để nhiều tổ chức khác nhau có thể làm việc trên một môi trường chung.

Lợi ích của VPN

- Khả năng linh hoạt cao, có thể kết nối bất cứ khi nào, bất cứ nơi đâu, chỉ cần ở đó có thể truy cập Internet

- Giá thành rẻ, chỉ mất chi phí truy cập Internet thông thường

- Không hạn chế số lượng kết nối đồng thời từ xa vào văn phòng công ty hoặc chi nhánh lớn

- Khả năng bảo mật cao

- Quản lý các kết nối dễ dàng thông qua tên và mật khẩu truy cập và hệ thống mạng riêng ảo trong mạng nội bộ

Cơ chế hoạt động của VPN

Server sẽ chịu trách nhiệm chính trong việc lưu trữ và chia sẻ dữ liệu sau khi mã hóa, giám sát và cung cấp hệ thống gateway để giao tiếp và xác nhận các tài khoản client trong khâu kết nối, trong khi client VPN, cũng tương tự như client của hệ thống LAN, sẽ tiến hành gửi yêu cầu – request tới server để nhận thông tin về dữ liệu chia sẻ, khởi tạo kết nối tới các client khác trong cùng hệ thống VPN và xử lý quá trình bảo mật dữ liệu qua ứng dụng được cung cấp.

VPN Tunneling: Đây chính là điểm khác biệt cơ bản nhất của VPN so với mạng LAN thông thường Các bạn có thể hình dung đây là 1 dạng đường hầm trong đám mây Internet mà qua đó, các yêu cầu gửi và nhận dữ liệu hoạt động.

Khi người dùng khởi tạo kết nối hoặc gửi dữ liệu qua VPN, giao thức Tunneling sẽ được sử dụng bởi mạng VPN (ví dụ như PPTP, L2TP, IPSec ) sẽ “gói” toàn bộ lượng thông tin này vào 1 package khác, sau đó mã hóa chúng và tiến hành gửi qua tunnel Ở những điểm cuối cùng của địa chỉ nhận, các giao thức hoạt động tương ứng của tunneling sẽ giải mã những package này, say đó lọc nội dung nguyên bản, kiểm tra nguồn gốc của gói tin cũng như các thông tin, dữ liệu đã được phân loại khác.

Việc phân loại Tunneling dựa trên nguồn gốc bắt đầu các kết nối Và qua đó, có 2 loại chính, đó là Compulsory và Voluntary Tunneling.

- Compulsory Tunneling thường được khởi tạo bởi Network Access

Server mà không yêu cầu thông tin từ phía người sử dụng Bên cạnh đó, các client VPN không được phép truy xuất thông tin trên server VPN, kể từ khi chúng không phải chịu trách nhiệm chính trong việc kiểm soát các kết nối mới được khởi tạo Compulsory Tunneling sẽ hoạt động ngay lập tức giữa server và client VPN, đảm nhận chức năng chính trong việc xác nhận tính hợp pháp của tài khoản client với server VPN.

- Voluntary Tunneling thì khác, được khởi tạo, giám sát và quản lý bởi người dùng Không giống như Compulsory Tunneling – thường được quản lý bởi các nhà cung cấp dịch vụ, mô hình này yêu cầu người dùng trực tiếp khởi tạo kết nối với đơn vịISP bằng cách chạy ứng dụng clien VPN Chúng ta có thể sử dụng nhiều phần mềm client VPN khác nhau để tạo các tunnel có tính bảo mật cao đối với từng server VPN riêng Khi chương trình client VPN định thiết lập kết nối, nó sẽ tiến hành xác định server VPN hoặc do người dùng chỉ định Voluntary

Tunneling không yêu cầu quá nhiều, ngoại trừ việc cài đặt thêm giao thức tunneling trên hệ thống của người dùng.

Giao thức sử dụng VPN

Hầu hết các VPN đều dựa vào kỹ thuật gọi là Tunneling để tạo ra một mạng riêng trên nền Internet Về bản chất, đây là quá trình đặt toàn bộ gói tin vào trong một lớp header (tiêu đề) chứa thông tin định tuyến có thể truyền qua hệ thống mạng trung gian theo những "đường ống" riêng (tunnel).

Khi gói tin được truyền đến đích, chúng được tách lớp header và chuyển đến các máy trạm cuối cùng cần nhận dữ liệu Để thiết lập kết nối Tunnel, máy khách và máy chủ phải sử dụng chung một giao thức (tunnel protocol)

Giao thức của gói tin bọc ngoài được cả mạng và hai điểm đầu cuối nhận biết Hai điểm đầu cuối này được gọi là giao diện Tunnel (tunnel interface), nơi gói tin đi vào và đi ra trong mạng.

Kỹ thuật Tunneling yêu cầu 3 giao thức khác nhau:

- Giao thức truyền tải (Carrier Protocol) là giao thức được sử dụng bởi mạng có thông tin đang đi qua.

- Giao thức mã hóa dữ liệu (Encapsulating Protocol) là giao thức (như GRE, IPSec, L2F, PPTP, L2TP) được bọc quanh gói dữ liệu gốc.

- Giao thức gói tin (Passenger Protocol) là giao thức của dữ liệu gốc được truyền đi (như IPX, NetBeui, IP).

Người dùng có thể đặt một gói tin sử dụng giao thức không được hỗ trợ trên Internet (như NetBeui) bên trong một gói IP và gửi nó an toàn qua Internet. Hoặc, họ có thể đặt một gói tin dùng địa chỉ IP riêng (không định tuyến) bên trong một gói khác dùng địa chỉ IP chung (định tuyến) để mở rộng một mạng riêng trên Internet.

Kỹ thuật Tunneling trong mạng VPN điểm-nối điểm

Trong VPN loại này, giao thức mã hóa định tuyến GRE (Generic Routing Encapsulation) cung cấp cơ cấu "đóng gói" giao thức gói tin (Passenger Protocol) để truyền đi trên giao thức truyền tải (Carier Protocol) Nó bao gồm thông tin về loại gói tin mà bạn đnag mã hóa và thông tin về kết nối giữa máy chủ với máy khách Nhưng IPSec trong cơ chế Tunnel, thay vì dùng GRE, đôi khi lại đóng vai trò là giao thức mã hóa IPSec hoạt động tốt trên cả hai loại

121 mạng VPN truy cập từ xa và điểm- nối-điểm Tất nhiên, nó phải được hỗ trợ ở cả hai giao diện Tunnel.

Trong mô hình này, gói tin được chuyển từ một máy tính ở văn phòng chính qua máy chủ truy cập, tới router (tại đây giao thức mã hóa GRE diễn ra), qua Tunnel để tới máy tính của văn phòng từ xa.

Kỹ thuật Tunneling trong mạng VPN truy cập từ xa

Với loại VPN này, Tunneling thường dùng giao thức điểm-nối-điểm PPP (Point-to-Point Protocol) Là một phần của TCP/IP, PPP đóng vai trò truyền tải cho các giao thức IP khác khi liên hệ trên mạng giữa máy chủ và máy truy cập từ xa Nói tóm lại, kỹ thuật Tunneling cho mạng VPN truy cập từ xa phụ thuộc vào PPP.

Các giao thức dưới đây được thiết lập dựa trên cấu trúc cơ bản của PPP và dùng trong mạng VPN truy cập từ xa.

L2F (Layer 2 Forwarding) được Cisco phát triển L2 F dùng bất kỳ cơ chế thẩm định quyền truy cập nào được PPP hỗ trợ.

PPTP (Point-to-Point Tunneling Protocol) được tập đoàn PPTP Forum phát triển Giao thức này hỗ trợ mã hóa 40 bit và 128 bit, dùng bất kỳ cơ chế thẩm định quyền truy cập nào được PPP hỗ trợ PPTP (Point-to-Point

Tunneling Protocol) VPN là công nghệ VPN đơn giản nhất, sử dụng kết nối

Internet được cung cấp bởi ISP để tạo tunnel bảo mật giữa client và server hoặc client và client PPTP là ứng dụng dựa trên hệ thống VPN, có thể các bạn cũng biết rằng Windows đã tích hợp sẵn chức năng PPTP bên trong, và tất cả những gì cần thiết để kết nối tới hệ thống VPN chỉ là 1 phần mềm hỗ trợ VPN client. Mặc dù PPTP không một số cơ chế bảo mật để đảm bảo luồng thông tin, dữ liệu (Point to Point Protocol đảm nhận việc này với PPTP), thì Windows, về mặt cơ bản đã tiến hành xác nhận và mã hóa với PPTP để mã hóa các package trước đó Ưu điểm của mô hình này là không yêu cầu thêm phần cứng hỗ trợ bên ngoài để triển khai, và hệ thống client có thể sử dụng các phần mềm được cung cấp để kết nố tới server VPN Tuy nhiên, nhược điểm của hệ thống kiểu này là dựa trên giao thức Point to Point để tăng thêm tính bảo mật đối với các gói dữ

122 liệu, do vậy trước khi những package này bắt đầu “đi qua” tunnel thì chúng vẫn có thể bị xâm nhập từ các nguồn gốc bên ngoài.

L2TP (Layer 2 Tunneling Protocol) là sản phẩm của sự hợp tác giữa các thành viên PPTP Forum, Cisco và IETF Kết hợp các tính năng của cả PPTP và L2F, L2TP cũng hỗ trợ đầy đủ IPSec L2TP có thể được sử dụng làm giao thức Tunneling cho mạng VPN điểm-nối-điểm và VPN truy cập từ xa Trên thực tế, L2TP có thể tạo ra một tunnel giữa máy khách và router, NAS và router, router và router So với PPTP thì L2TP có nhiều đặc tính mạnh và an toàn hơn -

L2TP - Layer to Tunneling Protocol để tích hợp thêm dữ liệu, cũng giống như PPTP không cung cấp thêm cơ chế mã hóa thông tin mà dựa vào PPP – Point to Point Protocol để mã hóa các lớp dữ liệu khác nhau L2TP tunneling sẽ gán thêm dữ liệu L2TP header vào lớp payload nguyên gốc, sau đó chuyển tới điểm cuối cùng trong sơ đồ UDP Bên cạnh giao thức Point to

Point, tính năng bảo mật, xác nhận tài khoản có thể được thực hiện qua việc áp dụng IPSec trong tầng network.

SSH (Secure Shell) Tunneling sử dụng các giao thức shell bảo mật để tạo riêng tunnel để truyền dữ liệu từ điểm này tới điểm khác Ưu điểm lớn nhất của việc sử dụng tunneling dựa trên SSH là có thể dễ dàng “đi qua” - bypass hệ thống firewallcủa Internet Thông thường, các tổ chức (có nhu cầu bắt buộc nhân viên sử dụng proxy server cố định để truy cập website và tài liệu riêng) sử dụng giao thức SSH để điều hướng toàn bộ traffic từ server dedicate Có đôi chút khác biệt so với SSLdựa trên VPN, tại đây giao thức HTTPS bắt đầu có hiệu lực trên các ứng dụng, hệ thống quản lý, trình duyệt web để bảo mật quá trình truyền dữ liệu giữa các thiết bị bên ngoài tới hệ thống mạng VPN đã được thiết lập, thì chỉ có 2 giao thức HTTPS được yêu cầu để khởi tạo kết nối giữa 2 điểm đầu cuối với nhau.

Các gói dữ liệu “đi qua” IPSec sẽ được mã hóa bởi AES, DES hoặc

3DES Bên cạnh đó còn cung cấp thêm chức năng nén dữ liệu và xác nhận tài khoản đối với từng lớp network khác nhau Kỹ thuật IPsec VPN sử dụng chế độ tunnel thay vì transport Trước khi gửi dữ liệu, hệ thống sẽ tiến hành “đóng gói” package IP vào 1 package IP mới, sau đó gán thêm 1 lớp IP header, đi kèm với ESP header để cải thiện tính bảo mật.

Cấu hình VPN Client to Site

Giới thiệu : bài lab bao gồm những nội dung chính sau:

1 Cấu hình VPN Server bằng giao thức PPTP

2 Tạo user để VPN Client kết nối vào VPN Server

4 Cấu hình VPN server bằng giao thức L2TP

- Cài đặt Role Routing and Remote Access trên DC2

- Đặt IP cho các máy theo bảng sau:

Cấu hình VPN Server bằng giao thức PPTP

Tools  Routing and Remote access, chuột phải lên DC2, chọn Configure and

Enable Routing and Remote Access

B3 : Màn hình configuration, chọn custom configurationnex t

Configuration, đánh dấu chọn vào 2 ô : VPN access &

B6 : Qua tab IPv4 , chọn Static Address

Range , nhập vào dãy địa chỉ sau :

Tạo user để VPN Client kết nối vào VPN Server

Ang Group , tạo user sau : user name : vpn, password : 123456 – lưu ý : bỏ dấu check ở tùy chọn User must change password at next log on

Dial-in, bên dưới mục

VPN ), đánh dấu chọn vào ô Allow Access

B1 : Vào control panel  network and sharing center  Set up a connection or network

Connect  Use my internet connection

Address, nhập vào IP Lan của

Name, đặt tên cho kết nối,

B6 : Màn hình tiếp theo, nhập vào user name và password của user vpn

Quá trình tạo kết nối thành công

Settingchuột phải vào VPN connection vừa tạo, nhấn

B8 : nhập vào username và password của vpn  Connect

Kết nối thành công Kiểm tra : mở CMD, gõ lệnh

ALL, thấy đã nhận IP từ VPN server

Lần lượt ping đến các địa chỉ trong mạng nội bộ :

1 địa chỉ Ip nằm trong dãy

 Máy DC3 và DC1 liên lạc được với nhau

Details, thấy mục Device name : PPTP, như vậy VPN đang kết nối bằng giao thức

Cấu hình VPN Server bằng giao thức L2TP

And Remote Access chuột phải vào DC2 chọn Properties

Security, đánh dấu chọn vào mục

L2TP connection, mục Preshered key

DC2, chọn All taskRestart

 Thực hiện tại máy DC3

Connection, chuột phải vào VPN connection, chọn

- Qua Tab Security bên dưới mục Type

L2TP/IPsec VPN, bên dưới chọn

- Mục IPsec Settings, chọn Use preshared key for authentication

- Chuột phải vào VPN connection, chọn

- Kiểm tra status,lúc này VPN kết nối bằng giao thức

Cấu hình VPN Site to Site

Giới thiệu : bài lab bao gồm những nội dung chính sau:

- Cấu hình VPN server dùng giao thức PPTP

- Cấu hình VPN server dùng giao thức L2TP

Chuẩn bị : 4 máy Windows Server 2008 R2

- Đặt IP cho các máy tính theo bảng sau :

- Cài đặt rule routing and remote access, trên DC2 và DC3

- Trên máy DC2 , tạo User : saigon, Password :saigon Chuột phải vào user saigon , chọn properties  qua tab Dial –in, bên dưới mục Remote Access  đánh dấu chọn vào ô Allow access OK

- Tương tự trên máy DC3, tạo user : vungtau , password : vungtau, chuột phải vào user vungtau, chọn propertiesqua tab Dial –in dưới mục Remote Access Permission ( Dial –in or VPN ) , đánh dấu chọn vào ô

Cấu hình VPN server dùng giao thức PPTP

Access, chuột phải lên DC2 , chọn

Configure and enable routing and remote access

Configuration, đánh dấu chọn vào 3 ô :

Interface Name gõ “ vungtau” vào ô

Lưu ý : interface name phải trùng với username đã tạo ra ở phần chuẩn bị

đánh dấu chọn vào Connect using virtual PRIVATE network (VPN)

B8 : Màn hình VPN type, chọn Point to

Address  gõ địa chỉ IP của máy DC3 là 192.168.1.20 vào ô Host name or IP address

Ptotocol and security, giữ nguyên như mặc định next

Static Route, cấu hình như sau :

Credentials, nhập vào những thông tin sau :

B14 : Quay lại màn hình Routing And

Remote Access, chuột phải vào DC2, chọn Properties

B15 : Qua tab IPv4, chọn Static

New Ipv4 address rangs nhập vào dãy

Routing and remote access, chuột phải lên DC2

B Máy DC3 : lặp lại các bước của phần A cấu hình VPN server trên máy DC2 cho máy DC3, thay đồi các thông tin sau:

- Tại bước khai báo Interface, Interface Name : saigon

- Tại bước khai báo Dial Out Credentials :

- Tại bước tạo Static Routes :

- Tại bước tạo Static address pool :

Ping địa chỉ IP máy

Qua mục Ports , sẽ thấy kết nối dạng

- Nhận xét : 2 site saingon và vungtau đã kết nối thành công

Cấu hình VPN server bằng giao thức L2TP

B1 : Chuột phải vào connection vungtau, chọn Properties

Qua tab Security  chọn Layer 2 tunneling … 

Suthentication, khung key : nhập vào 123456  OK

B2 : Quay lại màn hình Routing And

Remote Access, chuột phải vào DC2, chọn Properties

Security, bên dưới đánh dấu chọn vào mục Allow custom

Remote Access chuột phải lên DC2

B Máy DC3 : thực hiện lại thao tác như trên DC2

CMD, gõ lệnh Ping địa chỉ IP máy DC4 là

Access, Connection vungtau , sẽ thấy connected

C Qua mục Ports, sẽ thấy kết nối dạng L2TP và Status là Active

TRIỂN KHAI CÁC DỊCH VỤ DỰA TRÊN CERTIFICATION AUTHORITY 1 Cơ sở hạ tầng khóa công khai

Ngày đăng: 16/10/2023, 06:21

HÌNH ẢNH LIÊN QUAN

Bảng thông tin về mỗi gói tin được gửi qua. Khi một máy tính trên mạng kết nối đến 1 website trên Internet header của địa chỉ IP nguồn được thay thế bằng địa chỉ  Public đã được cấu hình sẵn trên NAT sever, sau khi có gói tin trở về NAT dựa vào bảng recor - Giáo trình mô đun Quản trị nâng cao (Nghề Quản trị mạng - Trình độ cao đẳng) - CĐ Kỹ thuật Công nghệ BR-VT
Bảng th ông tin về mỗi gói tin được gửi qua. Khi một máy tính trên mạng kết nối đến 1 website trên Internet header của địa chỉ IP nguồn được thay thế bằng địa chỉ Public đã được cấu hình sẵn trên NAT sever, sau khi có gói tin trở về NAT dựa vào bảng recor (Trang 92)
Hình như sau : - Giáo trình mô đun Quản trị nâng cao (Nghề Quản trị mạng - Trình độ cao đẳng) - CĐ Kỹ thuật Công nghệ BR-VT
Hình nh ư sau : (Trang 137)

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w